Japan
サイト内の現在位置
Apache Tomcatにおける複数の脆弱性
掲載番号:NV25-001
脆弱性情報識別番号:JVNVU#90271471
概要
Apache Tomcatには、複数の脆弱性が存在します。
認証が失敗せず、認証プロセスをバイパスされる(CVE-2024-52316)
ユーザー間でHTTP/2リクエストとレスポンスが取り違えられる(CVE-2024-52317)
エスケープされないJSPタグの出力により、クロスサイトスクリプティング(XSS)を引き起こされる(CVE-2024-52318)
対象製品
SimpWright
対象となる製品のバージョン
該当バージョンのTomcatを利用している場合、影響あり
対処方法
Tomcatを最新のバージョンにアップデートしてください。
SystemDirector Enterprise
対象となる製品のバージョン
SystemDirector Enterprise for Java
対象モデル: JSF拡張モデル
バージョン: V10.2 ~ V14.1
対処方法
Tomcatを最新のバージョンにアップデートしてください。
ReportFiling
対象となる製品のバージョン
該当バージョンのTomcatを利用している場合、影響あり
対処方法
Tomcatを最新のバージョンにアップデートしてください。
WebSAM vDC Automation
対象となる製品のバージョン
vDCA7.0に同梱されたTomcat
対処方法
以下の手順を参照し、vDCAに同梱されるTomcatをバージョン9.0.100にバージョンアップしてください。
https://sscms.pf.nec.co.jp/SupportPortal/Contents/View.aspx?isIntra=0&isPreview=1&id=3050100771&jpnworldType=0
EnterpriseIdentityManager
対象となる製品のバージョン
HTTP/2 を使用する設定、または、Apache Tomcat 9.0.96 を使用場合
対処方法
影響を受けないバージョンの Apache Tomcat へアップデートください。
WebOTX
対象となる製品のバージョン
CVE-2024-52316
・WebOTX Application Server Express V10.1~V11.2 (※)
・WebOTX Application Server Standard V10.1~V11.2
・WebOTX Application Server Standard Extended Option V11.1~V11.2
・WebOTX Application Server Express V12.1 ※2024/12先行提供版(V12.10.00.00)
(※) WebOTX Enterprise Service Bus V10.1/V10.3/V11.1、WebOTX Portal V10.1/V10.4/V11.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
CVE-2024-52317
・WebOTX Application Server Express V12.1 ※2024/12先行提供版(V12.10.00.00)
対処方法
以下のサイトをご参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010104875
参考情報
更新情報
- 2025/09/17
-
ReportFiling、WebSAM vDC Automation, EnterpriseIdentityManager, WebOTX を登録しました。
- 2025/01/15
-
SimpWright、SystemDirector Enterprise を登録しました。